Испанският надзорен орган не се притеснява да налага глоби от по 1 млн. евро за нарушаване на GDPR

Профилиране без възможност за контрол от страна на субекта на данните е една от причините за санкцията

Ето две от решенията на испанския надзорен орган за защита на личните данни, с които налага на предприятията глоби от по 1 млн. евро. AEPD счита, че EDP COMERCIALIZADORA, SAU не е приел технически и организационни мерки, за да провери дали лице, което наема услугите му от името на друго физическо лице, има разрешение да изпълнява договора. Нито е приел технически и организационни мерки, за да провери дали този, който действа от името на друго физическо лице, е упълномощен от това лице да даде съгласие за друга обработка на лични данни от негово име.

Тези съгласия са били нужни за изпращане на търговски съобщения и  профилиране с информация от бази данни на трети страни за автоматизирано вземане на решения, за да се изпратят персонализирани предложения за реклами и да се даде възможност за сключване на договори за определени услуги.

Според надзорния орган EDP COMERCIALIZADORA, SA U. е нарушил член 25 от GDPR. В съответствие с член 83, параграф 4, буква а) е наложена глоба от 500 000 евро.

В допълнение, AEPD счита, че документът, предназначен за информиране на субектите на данни, не предоставя достатъчно информация за администратора, правното основание за обработка, която не се основава на съгласие, целите на обработката, свързани с профилиране въз основа на легитимен интерес, нито възможността да възрази срещу обработващи дейности, които администраторът основава на своя легитимен интерес. Освен това в някои процедури за сключване на договори за услуги на компанията (например сключване на договори по телефона) формата на достъп до цялата информация, изисквана съгласно член 13, не е проста и лесно достъпна.

Следователно AEPD счита, че член 13 от GDPR е нарушен. Съгласно член 83, параграф 5, буква б) от GDPR е наложена глоба от 1 000 000 евро.

Директорът на Испанската агенция за защита на данните е наложил глоба на EDP ENERGÍA, S.A.U. в които обработката на лични данни е осъществена без съгласието на заинтересованата страна при договарянето на доставката на електроенергия.

AEPD счита, че EDP ENERGIA, SAU не е приела технически и организационни мерки, за да провери дали лице, което сключва договор за услугите му от името на друго физическо лице, има разрешение да изпълнява договора.  Нито е приел технически и организационни мерки, за да провери дали този, който действа от името на друго физическо лице, е упълномощен от това лице да даде съгласие за друга обработка на лични данни от негово име.

Тези съгласия са нужни за две цели: изпращане на търговски съобщения и съобщения на трети страни и профилиране с информация от бази данни на трети страни за автоматизирано вземане на решения, за да се изпратят персонализирани предложения за реклами и да се даде възможност за сключване на договори за определени услуги.

Според надзорния орган EDP ENERGIA, SAU е нарушил член 25 от GDPR. В съответствие с член 83, параграф 4, буква а) е наложена глоба от 500 000 евро.

В допълнение, AEPD счита, че документът, предназначен за предоставяне на информация на субектите на данни, не предоставя достатъчно информация за администратора, правното основание за обработка, която не се основава на съгласие, целите на обработката, свързани с профилиране въз основа на легитимен интерес, нито възможността да възрази срещу обработващи дейности, които администраторът основава на своя легитимен интерес.

Освен това в някои процедури за сключване на договори за услуги на компанията (например сключване на договори по телефона) формата на достъп до цялата информация, изисквана съгласно член 13, не е проста и лесно достъпна.

Следователно AEPD счита, че член 13 от GDPR е нарушен. Съгласно член 83, параграф 5, буква б) от ОРЗД ​​е наложена глоба от 1 000 000 евро.

 

Можете да споделите: